Q Qualys. 


DB2 


認証 スキ ャ ン に 


< 謀 


こ 関 心 を お 寄せ いた だ き あ り が と う ご ざ いま す 。 認証 を 設 


E し て 使 


] す る と 、 ホス ト を さら に 詳し く 評 1 


し 、 最も 正確 な 結果 を 取得 し 、 誤 検 出 を 減ら すこ と が で きま す 。 本 書 で は 、DB2 認証 の 設定 に 
プラ クティ ス に つい て 説明 し ます 。 


考慮 すべ き 事項 
認証 を 使用 する 理由 


認証 を 使 


1 する と 、 提供 され た 資格 情報 で 対象 の 各 シ ステ ム に リモ ー 


する こと で 、 テス ト 
より 適切 に 可視 化す る こと が で きま す 。 


され て いま す 。 


資格 情報 の 安全 性 に つい て 


資格 情報 は 


読み 取り (READ) 専 / 
た り 、 何 か を 書き 込ん だ りす る と いう こと 


H と し て シス テム へ の アク セス に 使 
は 、 決 し て あり ませ ん 。 資格 情報 


ン の 実行 中 に の み 使 


操作 手順 


まず 、 対象 の ホス ト 上 で 認証 


| され ます 。 


IBM DB2 資格 情報 


スキ ャ ン を 実行 する 前 に 


指定 の スク リプ ト を 表示 され た 順序 で 実行 し て くだ さい 。 


1) ユー ザ ア カ ウ ント を 作成 する 


DB2 で は OS 


は 安全 


E 済 み の ス キャ ン 用 の IBM DB2 ユー ザ ア カ ウ ント と 権限 を 設定 
使用 し て 次 の 手順 を 実行 し ます 。 1)DB2 認証 レコ ー ド を 追加 し て 、 資 格 情 報 と 4 
が 有効 に な っ て いる オプ ショ ンプ ロフ ァイル (コン プラ イア ンス プロ ファ イル で は 常に 有効 ) を 使 
始 し ます 。 3) 認 me 証 E レ ポー ト を 実行 し て 、 スキ ャ ン 対 象 の 各 ホ スト ト で 訟 証 が 成功 また ( は よ 失敗 し た ヵ ぇ を 


存在 し て いる 必要 が ある DB2 アカ ウン ト と 権限 を 設定 する た め 
ト が 用 意 さ れ て いま す 。 これ ら の スク リプ ト で は 、 イ ンス タン ス 所 


A で あり 、 脆弱 属 


La 
トス ト (TP) を 関 


に 関す る ヒン ト と ベス ト 


ト か ら ロ グイ ン す る こと が で きま す 。 ログ イン 


に こ 更 に 多く の こと が 行え る よう に な り ま す 。 その た め 、 各 シス テム の セキ ュ リ ティ 状態 に つい て 、 


認証 は 、 コ ンプ ライ アン スス キャ ン で は 必 E ス キャ ン で も 推奨 


] さ れ ま す 。 デバ イス 上 で 資格 情報 を 修正 し 
E を 確保 し た 状態 で 扱わ れ 、 ス キャ 


E す 。 次 に 、Qualys を 
連 付 け ま す 。 2) 認証 
H』 し て 、 ス キャ ン を 開 
E 認 し ます 。 


こ 、 以下 の スク リプ ト の セッ 


固有 の ロー カル ユー ザ ア カ ウ ント が 使用 され ます 。 デー タ 環 境 を スキ ャ ン す る た め に 


者 な ど i A 


、 QUALYSSC 


と いう 名 前 の ユー ザ ア カ ウ ント を 作成 する こと を お 勧め し ます 。 DB2 で は 最大 8 文字 の ユー ザ ア カ ウ ント し か デー タ 
ベー ス へ の アク セス が 許可 され な いた め 、 こ の 制限 内 で ユー ザ ア カ ウ ント を 


設定 する こと が 重 


E 要 な 手順 に な り ま す 。 


v9.5 より も 前 の バー ジョ ン の DB2 を 実行 し て いる 場合 は 、 手 順 2ag に 進ん で くだ さい 。 v9.5 以降 の 場合 は 、 手 順 


2b に 進み ます 。 


無断 複写 ・ 転 載 を 禁じ ます 。 2012-2020 年 クキ リス ジャ パン 株 式 会 社 


J J 
\ー ミ 


2a) スキ ャ ン ア カウ ント に 
この スク リプ ト に より 、DB2 ホス ト の スキ ャ ン を 正常 に 


= 


で 


ッ シ ョ ン を 付与 する (DB2 v9.1~v9.3) 
に 必要 と され る テー ブル オブ ジェ クト に 適切 な 


行 す る た め 


パー ミッ ショ ン が 付与 され ます 。 注記 - 管理 者 は 次 の パー ミッ ショ ン を 追加 する 必要 が あり ます 。 


CONNECT TO [db-name] 

GRANT CONNECT ON DATABASE TO USER OUALYSSC/ 

GRANT _ SELECT ON SYSTBMADM .DBCEG TO USER OUALYSSC』 
GRANT _ SELECT ON SYSTBMADM .DBMCEFG TO USER OUALYSSC/ 
GRANT _ SELECT ON SYSTBM.SYSTABAUTH TO USER OUALYSSC/ 
GRANT _ SELECT ON SYSCAT.DBAUTH TO USER OUALYSSC』 
GRANT _ SELECT ON SYSCAT .SCHEMATA TO USER OUALYSSC』 
GRANT _ SELECT ON SYSCAT .TABTLES TO USER OUALYSSC』 
GRANT _ SELECT ON SYSTBM .SYSVERSTONS TO USER OUALYSSC/ 
手順 4 に 進ん で くだ さい 、。 


2b) スキ ャ ン ア カウ ント に パー ミッ ショ ン を 付与 する (DB2 v9.5 以降 ) 
この スク リプ ト に より 、 ロール が 作成 され 、DB2 ホス ト の スキ ャ ン を 正常 に 実行 する た め に 必要 と され る テー ブル オプ 
ジェ クト に 適切 な パー ミッ ショ ン が 付与 され ます 。 注記 - 管理 者 は 次 の ロー ル を 作成 し 、 パ ー ミ ッ シ ョ ン を 追加 する 
必要 が あり ます 。 QUALYSROLE と いう 名 前 の ロー ル が 推奨 され ます 。 


ECT TO 
T CONNI 


[ db-name] ; 


ECT ON DATABASE TO ROLE 


OUA 


jYSROTLE 


| 


EE QUALYSROLE; 
ON 


EE RO 
正 CT 


RO 


4 


EE QUALYSROL 


hl 
Pe 
1 


SYSIBMADM.DBCFG TO 
ON SYSIBMADM.DBMCFG TO 
SYSIBM.SYSTABAUTH TO 
SYSCAT .DBAUTH TO RO 


EC 
OM 
OM 


Ti 


RO 
RO 


中 QUALYS 


ROL 


7 


EE QUALYSROL 


Ft 
h 


qa 


UALYSROLE; 


ECT SYSCAT .SCHEMATA TO RO 


EQ 


Dm 
h 


Dw 
h 


ECT SYSCAT .TABLES TO ROL 


EE QUALYSROL 
QUALYSROLE 


G) G) G) G) qG) G) G) () q) て ) 


円 円 申 下 下 申 下 申 
( 〇 の O 〇 の 〇 の の の の の 


O 
O 
O 
O 
O 


ECT ON SYSTBM.SYSVERSTONS TO 


ROLE OUA 


YSROLE; 


1 


4 


デフ ォ ル ト で は 、 関数 SYSPROC.ENV GET INST INFO を 実行 する 権限 は PUBLIC に 付与 され ます 。 スキ ャ ン 


EL FROM TABLE 


アカ ウン ト で 以下 の 文 を 実行 し た 際 に エラ ー が 検出 され た 場合 は 、 次 の 権限 も 付与 し て くだ さい 。 
SELECT SERVTCE LEVEL, FTXPACK NUM, BLD LEV 
(SYSPROC.ENV GET TNST TNEO() ) 

GRANT EXECUTE ON FUNCTTON SYSPROC.ENV G 


3) スキ ャ ンロール の 一 部 と し て スキ ャ ン ア カウ ント を 許可 する 


次 の スニ ベッ 


GRANT ROLE OUALYSROTLE TO USER OUALYSSCz 


4) スキ ャ ン ア カウ ント の 権限 を 確認 する 


ET TNST TNEO TO ROLE QUALYSROLE 


に より 、 手順 2b で 作成 され た スキ ャ ンロール の 一 部 と し て スキ ャ ン ア カウ ント を 許可 し ま 


スキ ャ ン に 使用 3 され る ユー ザ ア カ ウ ント で 不足 し て いる 


限 の 特定 に 利 


さ * 


oO 


1 で きる スク リプ ト を 2 つ 、zip アー カイ ブ 内 


に 用 意 し て いま す 。 この 2 つの スク リプ ト は 、QG DB2 Auth verx.x.txt ファ イル と QG DB29.5+ Auth verx.x.txt 


ファ イル 内 に あり ます 。 この スク リプ ト は 、 適 切な 権限 が すべ て 正しく 


で 。 デ ー タ ベー ス の スー ペパー ムー ザ が 
を 表示 する 出力 が 生成 され ます 。 


Qualys 認証 スキ ャ ン 


ヨル コテ 


底 下 


され て いる か どう か を 確認 する た め の も の 
実行 し な けれ ば な り ま せん 。 この スク リプ ト に より 、 すべ て の 必須 項 


の 状態 


出力 例 : 


Prerequisites 

Current User 

DB2 VERSION 
QUALYSROLE 
QUALYSROLE MEMBER 
QUALYSSC 
SYSCAT.DBAUTH 
SYSCAT.SCHEMATA 
SYSCAT.TABLES 
SYSIBM.SYSTABAUTH 
SYSIBM.SYSVERSIONS 
SYSIBMADM.DBCFG 
SYSIBMADM.DBMCFG 


異な る 結果 が 出 た 場 


IBM DB2 認証 レコ ー 


Qualys で DB2 


レコ ー ド を 作成 する 場所 


「Scans」 > 「 Authentication ] > 「New」 = 「Databases 」 
ーー 「IBM DB2 Record」 を 選択 し ます 。 


合 は 、SQL Server DBA に : 


認証 レコ ー ド を 作成 し て 、 資 格 情報 
と ホス ト (TP) を 関連 付け ます 。 ユー ザ 名 と パス ワー ド 、 
認証 を 行う デー タベース の 名 前 、 そ の デー タベース 
が 使用 し て いる ポー ト を 指定 する 必要 が あり ます 。 


Status 
DB2INST 
DB2 v10.5.0.3 


PASSED - role exi 


PASSED - role js 


1StS 
granted to user 


PASSED - user exists 
PASSED - SELECT privilege is granted to role 
PASSED - SELECT privilege is granted to role 
PASSED - SELECT privilege is granted to role 
PASSED - SELECT privilege is granted to role 
PASSED - SELECT privilege is granted to role 
PASSED - SELECT privilege is granted to role 
PASSED - SELECT privilege is granted to role 


Global Default 


Global Default 


Global Default| Databases... 
VMware.. 2 


System Record Templates. bk 


Authentication Vaults 
PN Global Default 
複数 の DB2 レコ ー ド の 作成 Download.. 
Agent Test Un 区 
複数 の DB2 レコ ー ド を 作成 する こと が で きま す 。 ホ 
スト に 複数 の DB2 イン スタ ンス が 存在 する 場合 は 、 中 Global Default Netwol Unix 
各 イ ンス タン ス に 個別 の 認証 レコ ー ド を 作成 する 必 同 Global Default Network Oracle 
要 が あり ます 。 同 Global Default Network Oracle 
Global Default Network Oracle 


DB2 イン スタ ンス の 定義 


脆弱 性 スキ ャ ン の 場合 、 イ ンス タン ス は IP アド レス と ポー ト に よっ て 一 意 に 定義 され ます 。 コン プラ イア ンス スキ ャ ン 


車 絡 し て 、 権限 が 正しく 設定 され て いる こと を 確認 し て くだ さい 。 
‘= Scans | Scans Maps Schedules Appliance 
v | New wv 
a Operating Systems.. Title 
| Network and Security... ト | 
Aaent Test Applications.… » 10.115.76.151-10.115.7 


InformixDB 
MariaDB 
MongoDB 
MS SQL 
MySQL 
Oracle 
Oracle Listener 
Pivotal Greenplum 
PostqgreSQL 
Sybase 

Test Oracle Basic 


の 場合 、 イ ンス タン ス は TP アド レス と ポー ト 、 そ し て デー タベース 名 に よっ て 一 意 に 定義 され ます 。 
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VM スキ ャ ン と PC スキ ャ ン に 使用 され る 


> 
レコ ド Record Title Login Credentials 


ュー ゞ へ Cr Use the basic login credential or choose to use authentication vault for authenticated scanning. 
デフ ォ ル ト で は 、DB2 レコ ー ド は 脆弱 性 ス 

® Basic authentication © Authentication Vault 
キャ ン と コ ンプ ライ アン スス キャ ン の 両方 で 使 Windows Parameters 


User Name * QUALYSSSC 
用 され ます 。 た だ し 、 PC スキ ャ ン 専 + の レ is PassWord ミ し 
コー ド を 指 定 す る こと も で きま す 。 認 ンコ ゴー し Confirm Password* 。 | seesee 
ド で 「Use this record for Policy Compliance | commen Database Name・ SAMPLE 
scans only」 チ ェ ッ クボ ックス を オン に し ます 。 i 
Cancel | Save | 


複数 の DB2 レコ ー ド の 例 


アカ ウン ト で 次 の よう な DB2 レコ ー ド を 定義 する 場合 を 考え て み ま す 。 次 の 表 で 、 「PC Only」 が 「Yes」 の 場合 、 そ の 
レコ ー ド で 「Use this record for Policy Compliance scans only」 チ ェ ッ クボ ックス が オン に な っ で て いる こと を 表し ます 。 


IP Address Port Database Name PC Only 
Record 1 10.10.31.178 50000 SAMPLE No 
Record 2 10.10.30.159 30000 TOOLS No 
Record 3 10.10.30.159 30000 SAMPLE Yes 


レコ ー ド 1 と レコ ー ド 2 は 脆弱 性 スキ ャ ン と コン プラ イア ンス スキ ャ ン の 両方 で 使用 され ます 。 レコ ー ド 3 は コン プラ 
イア ンス スキ ャ ン で の み 使 用 され ます 。 レコ ー ド 2 と レコ ー ド 3 は 、IP アド レス と ポー ト が 同じ で ある の に デー タ ベ ー 
ス 名 が 異な っ て いま す 。 これ は 、 レコード 3 が コン プラ イア ンス スキ ャ ン の み で 使用 きれ る た め に 可能 に な っ て いま 
す 。 


Vault に ある パス ワー ド に アク セス する New IBM DB2 Record Launch Help 
方 法 ーー ルー Login Credentials 
人 あの Ro hs 
が で きま す 。 複数 の サー ド パ ー テ ィ の パス ーー UserName・ QUALYSSSC 
ワー ド Vault と の 統合 が サポ ー ト され て い | ーー Database Name・ SAMPLE 
ます 。 「Scans」 つ 「Authentication」 つ 「New」 1” Port* sooo 
っ TAuthentication Vaults 」 に 移動 し て 、 使 | Commens 回 Use te record or Policy Compliance scans only i 
し て いる Vault シス テム を 設定 し ます 。 
次 に 、 レコ ー ド で 「Authentication Vault」 を 
選択 し 、 Vault 名 を 選択 し ます 。 スキ ャ ン 時 
に は 、 レ コー ド 内 の アカ ウン ト 名 と Vault で 
見 つか っ た パス ワー ド を 使用 し て ホス ト へ 
の 認証 が 行わ れ ま す 。 | “| 
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イン スト ー ル に 関す る 詳細 情報 の 指定 
コン プラ イア ンス スキ ャ ン を 実行 する 場合 
は 、IBM DB2 の イン スト ー ル に 関す る 詳細 
情報 も 指定 する 必要 が あり ます 。 これ に より 、 
Windows また は Unix の オペ レー ティ ング 
シス テム レベ ル で DB2 コン プラ イア ンス 
デー タ を 収集 する こと が で きま す 。 レコ ー ド 
に Windows お よび Unix パラ メー タ (イン 
スト ー ル ディ レク トリ お よび アー カイ パブ プ 保存 
先 な ど ) を 入力 し ます 。 Windows イン スト ー 
ル の 場合 は 、DB2 ホス ト と 同じ ホス ト で 定 
義 さ れ た Windows レコ ー ド も 必要 に な り ま 
す 。 Unix イン スト ー ル の 場合 は 、DB2 ホス 
ト と 同じ ホス ト で 定義 され た Unix レコ ー ド も 
必要 に な り ま す 。 


レコ ー ド へ の IP の 追加 


認証 を 行う 対象 の ホス ト (IP) を 選択 し ます 。 」 


最終 更新 日 : 2020 年 6 月 19 日 
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Al fields must be completed. Windows authentication is required 


Windows Parameters > 


Unix Parameters 
IPs 


Comments 


New IBM DB2 Record Launch Help 邊 
Record Tie Windows Parameters 
Login Credentials To perform OS-dependent compliance checks, provide details about your IBM DB2 installation below. 


UL 


Record Title IPs 


Login Credentials 
Windows Parameters 
Unix Parameters 


Comments 


New IBM DB2 Record Launch Help 較 


[I 


